银行IT风险管理体系课件

,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,PAFIRC,银行,IT,风险管理体系,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,2024/11/14,1,银行,IT,风险管理体系,北京大学,ACOM,金融信息化研究中心,报告主题,2023/8/31银行IT风险管理体系北京大学ACOM金融信,2024/11/14,2,PAFIRC,报告提纲,银行,IT,风险管理实际应用,风险管理框架,银行,IT,风险管理背景,Q&A,2023/8/32PAFIRC报告提纲银行IT风险管理实际应,2024/11/14,3,911,事件后,摩根银行,在几小时内,迅速恢复营业,注重,IT,风险管理,2023/8/33911事件后注重,2024/11/14,4,PAFIRC,银行风险框架,市场风险,银行,风险,操作风险,信用风险,IT,风险,银行,IT,风险,的类型,IT,风险管理的必要性,IT,风险管理与,IT,治理,返回,银行监管,的要求,2023/8/34PAFIRC银行风险框架市场风险银行操作风,2024/11/14,5,PAFIRC,银行,IT,风险的类型,IT,运行风险,IT,资产脆弱性风险,误操作风险,计算机欺诈风险,信息披露风险,系统中断风险,银行,IT,风险,基于,IT,的金融产品或服务风险,IT,环境风险,法律遵循性风险,战略风险,组织风险,物理环境风险,外包风险,返回,2023/8/35PAFIRC银行IT风险的类型IT运行风险,2024/11/14,6,银行监管的要求,2023/8/36银行监管的要求,2024/11/14,7,IT,风险管理,IT,风险管理的动机,信息技术的双刃性,新巴塞尔协议、,萨班斯法案以及银监会的要求,银行内控的要求,返回,2023/8/37IT风险管理IT风险管理的动机 信息技术的,2024/11/14,8,IT,风险管理的三维模型,返回,Z,轴,X,轴,Y,轴,在银行信息系统生命周期各阶段，依照,IT,风险管理流程，以风险控制目标为驱动，实施,IT,风险管理，抵减银行,IT,风险。,2023/8/38IT风险管理的三维模型返回Z轴X轴Y轴在银,2024/11/14,9,银行,IT,风险管理流,程,IT,风险,管理流程,国际知名金融机构,IT,风险管理案例,国际标准,AS-NZS 4360,NIST,SP800-60,国内标准,GB,信息安全,风险评估规范,返回,GB,信息安全等级保护系列标准,2023/8/39银行IT风险管理流程IT风险国际知名金融机,2024/11/14,10,资产登记表,检查表,风险值,=R,（,A,，,T,，,V,，,M,）,=R(C(A,，,T,，,V,，,M),，,L(T,，,V,，,M),风险权重,返回,确定信息系统安全保护等级,GB,信息,安全等级保护,Basel II,和萨班斯法案的要求,Basel II,的要求,萨班斯法案的要求,制定详细的风险处理计划,输出表格,Basel II,的要求,2023/8/310资产登记表检查表风险值=R（A，T，V，,2024/11/14,11,信息系统安全等级保护调查表,返回,2023/8/311信息系统安全等级保护调查表返回,2024/11/14,12,信息系统对象确立报告,返回,2023/8/312www.pafirc.pku.edu.c,2024/11/14,13,资产登记表,返回,安全,-,责任矩阵,2023/8/313www.pafirc.pku.edu.c,2024/11/14,14,安全,-,责任矩阵,返回,2023/8/314安全-责任矩阵返回,2024/11/14,15,PAFIRC,checklist,返回,由风险控制目标导出,2023/8/315PAFIRCchecklist返回由风险,2024/11/14,16,计算各风险的权重,:,应用,AHP,、群决策及聚类分析法,应用,AHP,理论，建立银行,IT,风险层次结构模型,应用群决策思想和,AHP,理论，多个专家决策群体给出各自的风险判断矩阵,应用群决策思想、,AHP,理论和最短距离聚类分析法，计算专家的权值,计算判断矩阵可信度权值,计算各风险的权重,返回,2023/8/316计算各风险的权重:应用AHP、群决策及,2024/11/14,17,PAFIRC,国际知名金融机构,IT,风险管理案例,返回,2023/8/317PAFIRC国际知名金融机构IT风险管理,2024/11/14,18,PAFIRC,信息系统生命周期,计划与组织,设计与获取,交付与实施,运行与维护,废弃与终止,系统生命周期,返回,2023/8/318PAFIRC信息系统生命周期计划与组织设,2024/11/14,19,PAFIRC,控制目标的产生,返回,COBIT 4.0,ISO 17799,NIST SP 800-53,IT,风险,控制目标,World Bank Checklist,信息系统安全等级保护,2023/8/319PAFIRC控制目标的产生返回COBIT,2024/11/14,20,PAFIRC,现有几个标准比较表,返回,2023/8/320PAFIRC现有几个标准比较表返回,2024/11/14,21,PAFIRC,IT,风险控制目标,风险控制目标,安全策略,安全组织,资产管理,人力资源安全,物理和环境安全,通信及运行管理,访问控制,系统的获取、研发与维护,信息安全事件管理,业务持续性管理,遵循性管理,PO,：计划与组织,DA,：设计与获取,DI,：,交付与实施,OM,：,运行与维护,DT,：,废弃与终止,通用控制目标,Text,分阶段制定的控制目标,Text,在分阶段制定控制目标的基础上制定系,统生命周期各阶段通用的控制目标。,37,个一级控制目标，,212,个二级控制目标；,二级控制目标分为基本要求和补充要求。,返回,2023/8/321PAFIRCIT风险控制目标风险控制目标,2024/11/14,22,PAFIRC,举例：通用类,安全策略,返回,2023/8/322PAFIRC举例：通用类安全策略返回,2024/11/14,23,PAFIRC,举例：,PO,阶段控制目标,返回,2023/8/323PAFIRC举例：PO阶段控制目标返回,2024/11/14,24,PAFIRC,IT,资产配置与变更流程,流程图,返回,安全保护等级,不同的,IT,资产有,不同的安全控制要求,2023/8/324PAFIRCIT资产配置与变更流程流程图,2024/11/14,25,IT,资产配置与变更流程图,PAFIRC,2023/8/325IT资产配置与变更流程图PAFIRC,2024/11/14,26,PAFIRC,研究理念,银行,IT,系统具备生命周期,IT,风险管理理所当然应当贯穿生命周期的始终，,IT,风险控制的目标要根据系统所在生命周期阶段的不同,制定不同阶段的安全控制要求,生命周期,IT,风险的管理和控制不是一劳永逸的活动，而是随着经营环境、业务目标，企业战略等的改变相应提高控制要求，开始新的循环。所以银行的,IT,风险管理活动是持续改进的控制过程,过程控制,银行,IT,风险管理的核心是对,IT,资产的管理，,IT,资产总是,归属于一定的子系统的，风险管理要考虑成本,-,收益就必须,对系统进行等级划分，实施不同的程度地保护，划分考虑,资产所在子系统的等级以及资产在子系统中的等级,等级保护,IT,资产必须进行分类管理、明确责任的同时要划定资产的名义归属者,责任主体,2023/8/326PAFIRC研究理念银行IT系统具备生命,2024/11/14,27,银行,IT,风险管理的应用,-IT,审计,IT,审计的参考标准,PAFIRC,银行,IT,风险阶段控制目标,可以作为,IT,审计的标准参考，检查,IT,风险管理的绩效,IT,审计内部控制调查,PAFIRC,银行,IT,风险安全检查表,：作为基础调研工具，识别关键风险和威胁，作为风险分析的前提也可以作为内部控制调查的依据,IT,审计的法律法规环境,PAFIRC,银行,IT,风险管理遵循性指引,：萨班斯,404,条款的要求，巴塞尔协议对金融监管的要求，以及国内法规条例的符合性程度等。,2023/8/327银行IT风险管理的应用-IT审计IT,2024/11/14,28,http:/ You!,2023/8/328http:/www.pafirc.pk,